Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Las víctimas de ransomware aumentan a medida que los actores de amenazas pasan a exploits de día cero

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 79

La cantidad de organizaciones que se convirtieron en víctimas de ataques de ransomware aumentó un 143 % entre el primer trimestre de 2022 y el primer trimestre de este año, ya que los atacantes aprovecharon cada vez más las vulnerabilidades de día cero y las fallas de un día para penetrar en las redes objetivo.

En muchos de estos ataques, los actores de amenazas ni siquiera se molestaron en cifrar los datos pertenecientes a las organizaciones de las víctimas. En cambio, se centraron únicamente en robar sus datos confidenciales y extorsionar a las víctimas amenazándolos con vender o filtrar los datos a otros. La táctica dejó incluso a aquellos con procesos robustos de copia de seguridad y restauración arrinconados.

Una oleada de víctimas

Investigadores de Akamai descubierto las tendencias cuando recientemente analizaron datos recopilados de sitios de fugas pertenecientes a 90 grupos de ransomware. Los sitios de fugas son lugares donde los grupos de ransomware suelen publicar detalles sobre sus ataques, víctimas y cualquier dato que puedan haber cifrado o filtrado.

El análisis de Akamai mostró que varias nociones populares sobre los ataques de ransomware ya no son del todo ciertas. Uno de los más significativos, según la empresa, es el paso del phishing como vector de acceso inicial a la explotación de vulnerabilidades. Akamai descubrió que varios de los principales operadores de ransomware se centran en adquirir vulnerabilidades de día cero, ya sea a través de investigaciones internas o adquiriéndolas de fuentes del mercado gris, para utilizarlas en sus ataques.

Un ejemplo notable es el grupo de ransomware Cl0P, que abusó de una vulnerabilidad de inyección SQL de día cero en el software GoAnywhere de Fortra (CVE-2023-0669) a principios de este año para entrar en numerosas empresas de alto perfil. En mayo, el mismo actor de amenazas abusó de otro error de día cero que descubrió, esta vez en la aplicación de transferencia de archivos MOVEIt de Progress Software (CVE-2023-34362) — para infiltrarse en docenas de organizaciones importantes a nivel mundial. Akamai descubrió que el recuento de víctimas de Cl0p se multiplicó por nueve entre el primer trimestre de 2022 y el primer trimestre de este año después de que comenzó a explotar errores de día cero.

Si bien aprovechar las vulnerabilidades de día cero no es particularmente nuevo, la tendencia emergente entre los actores de ransomware de usarlas en ataques a gran escala es significativa, dijo Akamai.

“Particularmente preocupante es el desarrollo interno de vulnerabilidades de día cero”, dice Eliad Kimhy, jefe del equipo CORE de investigación de seguridad de Akamai. “Vemos esto con Cl0p con sus dos ataques importantes recientes, y esperamos que otros grupos hagan lo mismo y aprovechen sus recursos para comprar y obtener este tipo de vulnerabilidades”.

En otros casos, grandes equipos de ransomware como LockBit y ALPHV (también conocido como BlackCat) causaron estragos al saltar sobre vulnerabilidades recientemente reveladas antes de que las organizaciones tuvieran la oportunidad de aplicarles la solución del proveedor. Ejemplos de tales vulnerabilidades del “día uno” incluyen la Vulnerabilidades de PaperCut de abril de 2023 (CVE-2023-27350 y CVE-2023-27351) y vulnerabilidades en los servidores ESXi de VMware que explotó el operador de la campaña ESXiArgs.

Pasar del cifrado a la exfiltración

Akamai también descubrió que algunos operadores de ransomware, como los que están detrás de la campaña BianLian, se han centrado completamente en el cifrado de datos. a la extorsión a través del robo de datos. La razón por la que el cambio es importante es que con el cifrado de datos, las organizaciones tenían la posibilidad de recuperar sus datos bloqueados si tenían un proceso de restauración y respaldo de datos lo suficientemente sólido. Con el robo de datos, las organizaciones no tienen esa oportunidad y, en cambio, deben pagar o arriesgarse a que los actores de amenazas filtren públicamente sus datos, o peor aún, vendiéndolos a otros.

La diversificación de las técnicas de extorsión es notable, dice Kimhy. “La exfiltración de datos había comenzado como un apalancamiento adicional que, en cierto modo, era secundario al cifrado de archivos”, señala Kimhy. “Hoy en día, vemos que se usa como un apalancamiento principal para la extorsión, lo que significa que la copia de seguridad de archivos, por ejemplo, puede no ser suficiente”.

La mayoría de las víctimas en el conjunto de datos de Akamai (de hecho, alrededor del 65 %) eran pequeñas y medianas empresas con ingresos declarados de hasta 50 millones de dólares. Las organizaciones más grandes, a menudo percibidas como los mayores objetivos de ransomware, en realidad solo representaron el 12% de las víctimas. Las empresas manufactureras experimentaron un porcentaje desproporcionado de los ataques, seguidas por las entidades de salud y las empresas de servicios financieros. Significativamente, Akamai descubrió que las organizaciones que experimentan un ataque de ransomware tenían una probabilidad muy alta de experimentar un segundo ataque dentro de los tres meses posteriores al primero.

Es importante enfatizar que el phishing sigue siendo muy importante para defenderse, dice Kimhy. Al mismo tiempo, las organizaciones deben priorizar la aplicación de parches a las vulnerabilidades recientemente reveladas. Agrega: “[L]as mismas recomendaciones que hemos estado haciendo aún se aplican, como comprender al adversario, las superficies de amenazas, las técnicas utilizadas, favorecidas y desarrolladas, y en particular qué productos, procesos y personas necesita desarrollar para detener un ataque de ransomware moderno”.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.